- •Лекція 1 osi модель. Принципи структурованого підходу до вирішення проблем.
- •1. Функції рівнів osi моделі
- •Лекція 2 Інкапсуляція та деінкапсуляція даних
- •2. Інкапсуляція
- •Virtual private network (vpn)
- •Лекція 4 Локальні комп’ютерні мережі
- •6.3. Методи випадкового доступу
- •6.4. Множинний доступ із прослуховуванням несучої і виявленням зіткнень (мдпн/вз)
- •Розрахунок характеристик методу csma/cd
- •Лекція 6 Мережеві архітектурні рішення
- •Переваги передачі голосу та даних однією мережею
- •Контролюйте витрати
- •Забезпечте кращу продуктивність
- •Покращіть обслуговування клієнтів
- •Єдина мережа
- •Можливість управління викликами
- •Багатофункціональна голосова пошта
- •Відеозв’язок
- •Лекція 6 Основні мережеві пристрої
- •Ширина каналу і пропускна спроможність
- •Лекція 7 Основні мережеві топології
- •Лекція 8 Загальні питання проектування мереж
- •2. Обмеження топології мережі, побудованої на мостах
- •3. Обгрунтування розміру (діаметра) мережі Ethernet
- •Лекція 9 Протоколи нижнього рівня великих мереж
- •Підтримання якості обслуговування
- •Використання мереж Frame Relay
- •Лекція 10 Фізичні адреси Двійкова і шістнадцяткова системи числення, двійкова логіка.
- •Конвертування восьми бітних двійкових чисел в десяткові.
- •Мас адреси.
- •Лекція 11 Логічні адреси ір адреси.
- •Лекція 12 Розрахунок ір-адресної схеми
- •Лекція 13 Оптимізація роботи комп’ютерних мереж. Технологія масок змінної довжини. Variable-length subnet mask (vlsm)
- •Лекція 14 Маршрутизація в мережах.
- •Лекція 15 Вибір найкращого шляху маршрутизатором. Таблиця маршрутизації
- •Лекція 16 Технології віртуальних мереж vlan
- •Лекція 17 Протокол запобігання петель комутації stp Підтримка алгоритму Spanning Tree
- •Лекція 18 Протоколи середнього та висого рівнів мереж.
- •Формат заголовка
- •Блок керування передачею
- •Встановлення та закриття з’єднання
- •7.5.2. Концепція квитування
- •7.5.3. Механізм ковзного вікна
- •Основні організації, що займаються стандартизацією комп’ютерних мереж
- •Лекція 19 Безпровідні мережі
- •Лекція 20 Засоби керування мережами
- •Архітектура
- •Компоненти
- •З'єднувачі
- •Відповідність архітектурному стилю rest
- •Структура стандартів
- •Інформаційна безпека
- •Вимоги та загрози безпеці
- •Структура моделей безпеки
- •Моделі безпеки
- •Версії snmp
- •SnmPv2c
- •SnmPv2u
- •Існуючі реалізації
- •Недоліки snmp
- •Лекція 21 Система доменних імен.
- •Лекція 22 Мережеві загрози
Лекція 22 Мережеві загрози
Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікаційміж людьми, а також з усвідомленням людиною наявності у людей і їхніх співтовариств інтересів, яким може бути завданий збитку шляхом дії на засоби інформаційних комунікацій, наявність і розвиток яких забезпечує інформаційний обмін між всіма елементамисоціуму.
Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку засобів інформаційних комунікацій можна виділити декілька етапів[1]:
I етап — до 1816 року — характеризується використанням природно виникаючих засобів інформаційних комунікацій. В цей період основне завдання інформаційної безпеки полягало в захисті відомостей про події, факти, майно, місцезнаходження і інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення.
II етап — починаючи з 1816 року — пов'язаний з початком використання штучно створюваних технічних засобів електро- і радіозв'язку. Для забезпечення скритності і перешкодостійкості радіозв'язку необхідно було використовувати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування перешкодостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).
III етап — починаючи з 1935 року — пов'язаний з появою засобів радіолокаційігідроакустики. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних і технічних заходів, направлених на підвищення захищеності засобів радіолокацій від дії на їхні приймальні пристрої активними маскуючими і пасивними імітуючимирадіоелектронними перешкодами.
IV етап — починаючи з 1946 року — пов'язаний з винаходом і впровадженням в практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, в основному, методами і способами обмеження фізичного доступу до устаткування засобів добування, переробки і передачі інформації.
V етап — починаючи з 1965 року — обумовлений створенням і розвитком локальнихінформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами і способами фізичного захисту засобів добування, переробки і передачі інформації, об'єднаних в локальну мережу шляхом адміністрування і управління доступом до мережевих ресурсів.
VI етап — починаючи з 1973 року — пов'язаний з використанням надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційній безпецістали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з безпровідними мережами передачі даних потрібно було розробити нові критерії безпеки. Утворилися співтовариства людей —хакерів, що ставлять собі за мету нанесення збитку інформаційній безпеці окремих користувачів, організацій і цілих країн.Інформаційний ресурсстав найважливішим ресурсом держави, а забезпечення його безпеки — найважливішою і обов'язковою складовоюнаціональної безпеки. Формуєтьсяінформаційне право— нова галузьміжнародної правової системи.
VII етап — починаючи з 1985 року — пов'язаний із створенням і розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний з широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань і глобальним охопленням у просторі та часі, забезпечуваним космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідним є створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.
Термінологія, що використовується у інформаційній безпеці.
White hat-людина, яка шукає уразливості в системах чи мережах, а потім доповіді ці вразливості для власників систему так, щоб вони могли бути виправлені. Вони є етично проти зловживання комп'ютерними системами. Біла капелюх зазвичай спеціалізується на забезпеченні безпеки ІТ-систем, в той час як Black Hat (навпроти) хотіли б, щоб увірватися в них. Хакер-загальний термін, який традиційно використовується для опису експертів комп'ютерного програмування. Останнім часом цей термін часто використовується в негативному ключі, щоб описати окремі, що спроби дістати несанкціонований доступ до ресурсів мережі зі злим умислом.Black hat-Інший термін для осіб, які використовують свої знання комп'ютерних систем для злому системи або мережі, що вони не уповноважені використовувати, як правило, для особистої або фінансової вигоди. Зловмисник приклад чорному капелюсі. Cracker-точніший термін для опису тих, хто намагається дістати несанкціонований доступ до ресурсів мережі зі злим умислом. Phreaker-людина, яка керує телефонної мережі викликати його для виконання функції, не допускається. Спільної мети Фрікінг є злом телефонної мережі, як правило, через телефон-автомат, щоб зробити безкоштовний міжміські дзвінки
Spammer-людина, яка відправляє велику кількість небажаних повідомлень електронної пошти. Спамери часто використовують віруси взяти під свій контроль домашніх комп'ютерів і використовувати їх, щоб відправити свої повідомлення навалом.Phisher- використання електронної пошти або інших засобів, щоб обдурити інших у наданні конфіденційної інформації, такої як номери кредитних карт або паролі. Фішер маскаради як надійного учасника, які мають законне необхідність конфіденційної інформації.
Інформаційна безпека і її завдання.
Інформаційна безпека має на увазі під собою забезпечення захисту інформації і інфраструктури, що здійснює її підтримку від будь-якого випадкового або ж зловмисного втручання, в результаті якого може бути нанесений утрата інформації в цілому, її безпосереднім власникам і інфраструктурі, що підтримує її зберігання і існування. Інформаційна безпека виконує завдання, пов'язані з прогнозуванням і запобіганням можливим діям подібного роду, а також зводить до мінімуму можливий збиток.
Інформаційна безпека і можливі загрози її забезпеченню.
Дії, які так або інакше загрожують збереженню, що допускають нанесення збитків інформаційній безпеці підрозділяються на певні категорії.
Дії, які здійснюють користувачі, авторизовані в системі. Ця категорія включає:
зловмисні дії користувача з метою крадіжки або повного або часткового знищення даних, що є на сервері або робочій станції компанії;
пошкодження наявних даних як результат прояву необережності, халатності у діях користувача.
"Електронне" втручання - дії хакерів. До категорії хакерів прийнято відносити людей, активно задіяних в здійсненні комп'ютерних злочинів, як на професійному рівні, так і на рівні простої людської цікавості. До подібних способів дії відносять:
незаконе проникнення в захищені комп'ютерні мережі;
здійснення DOS-атак.
Несанкціоноване проникнення ззовні в захищену мережу тієї або іншої компанії може здійснюватися з метою нанесення збитку (знищення, підміна наявних даних), крадіжка інформації, що відноситься до розряду конфіденційною з подальшим її незаконним використанням, розпорядження мережевою інфраструктурою компанії як методом для здійснення атак на інші мережеві вузли, крадіжка грошових коштів з рахунків компанії або окремих користувачів і ін.
Атаки категорії DOS ("Denial of Service") здійснюються ззовні і направлені на мережеві вузли тієї або іншої компанії, які відповідають за її безпечне, ефективне і стабільне функціонування (поштовий, файловий сервер). Зловмисниками організовується масова відправка яких-небудь даних на вибрані вузли, що викликає їх перевантаження, тим самим, виводячи з працездатного стану на деякий час. Подібні атаки можуть обернутися для постраждалої компанії різними порушеннями в здійсненні безперервних бізнес-процесів, втратою клієнтів, а також втратою репутації.
Комп’ютерні віруси.
Комп’ютерні віруси, так само, як і деякі інші шкідливі програми відносяться до окремої категорії способів електронної дії з подальшим нанесенням збитку. Дані засоби дії є реальною загрозою для ведення сучасного бізнесу, що має на увазі широке використання комп'ютерних мереж, електронної пошти і Інтернету в цілому. Так, "вдале" проникнення шкідливої програми (вірусу) в корпоративні мережеві вузли тягне за собою не тільки виведенням їх із стану стабільного функціонування, але і велику втрату часу, втрату наявних даних, зокрема не виключена можливість крадіжки конфіденційної інформації і прямих розкрадань грошових коштів з рахунків. Програма-вірус, яка проникла і залишилася непоміченою в корпоративній мережі дає можливість здійснення зловмисниками повного або ж часткового контролю над всією діяльністю компанії, що ведеться в електронному вигляді.
Спам.
Якщо ще кілька років тому спам був всього лише незначним по масштабах, дратівливим чинником, то в даний час технології спаму представляють достатньо серйозну загрозу для забезпечення інформаційної безпеки:
так, основним каналом для ефективного і швидкого розповсюдження спаму і інших шкідливих програм в даний час стала електронна пошта;
на перегляд спаму йде достатньо велика кількість часу, а подальше видалення численних повідомлень може викликати відчуття дискомфорту співробітників на психологічному рівні;
спам може виступати одним з основних методів реалізації різних шахрайських схем, жертвами яких можуть ставати як приватні, так і юридичні особи;
великий ризик видалення потрібної кореспонденції разом із спамом, що може привести до різного роду неприємним наслідкам; при цьому така небезпека зростає, якщо удаватися до використання недосконалих поштових фільтрів для виявлення і відсіювання спаму.
"Природні" загрози.
В категорію "природних" загроз відносять різні зовнішні чинники. Так, причиною втрати інформаційної безпеки може виступити крадіжка інформаційних носіїв, форс-мажорні обставини, неправильний спосіб зберігання інформації і ін.
Think Like a Attacker
-
The attacker's goal is to compromise a network target or an application running within a network. Many attackers use this seven-step process to gain information and state an attack.
Метою зловмисника є компромісом цільової мережі або додаток, що працює в мережі. Багато зловмисники використовують це сім етапів процесу з метою отримання інформації та державних атаки.
Step 1. Perform footprint analysis (reconnaissance). A company webpage can lead to information, such as the IP addresses of servers. From there, an attacker can build a picture of the security profile or "footprint" of the company.
Крок 1. Виконайте слід аналізу (розвідки). Веб-сторінка компанії може призвести до інформації, таких як IP-адреси серверів. Звідти, зловмисник може створити картину профіль безпеки або "слід" в компанії.
Step 2. Enumerate information. An attacker can expand on the footprint by monitoring network traffic with a packet sniffer such as Wireshark, finding information such as versionnumbers of FTP servers and mail servers. A cross-reference with vulnerability databases exposes the applications of the company to potential exploits.
Крок 2. Перераховувати інформації. Зловмисник може розширити свою присутність на слід, моніторинг мережевого трафіку за допомогою аналізаторів трафіку, такі як Wireshark, знайти інформацію, таку як номери версій серверів FTP і поштових серверів. Перехресні посилання з уразливістю баз даних надає програми компанії потенційних вразливостей.
Step 3. Manipulate users to gain access. Sometimes employees choose passwords that are easily crackable. In other instances, employees can be duped by talented attackers into giving up sensitive access-related information.
Крок 3. Маніпулювання користувачів для отримання доступу. Іноді співробітники вибирають паролі, які легко crackable. В інших випадках співробітники можуть бути обмануті талановитих нападників у відмову від чутливих пов'язаних з доступом до інформації.
Step 4. Escalate privileges. After attackers gain basic access, they use their skills to increase their network privileges.
Крок 4. Ескалація привілеїв. Після цього нападники отримати базовий доступ, вони використовують свої навички для збільшення своїх привілеїв мережі.
Step 5. Gather additional passwords and secrets. With improved access privileges, attackers use their talents to gain access to well-guarded, sensitive information.
Крок 5. Збір додаткових паролів і секретів. З поліпшенням привілеї доступу, зловмисники використовують свої таланти, щоб отримати доступ до добре охоронюваним, конфіденційної інформації.
Step 6. Install backdoors. Backdoors provide the attacker with a way to enter the system without being detected. The most common backdoor is an open listening TCP or UDP port.
Крок 6. Встановлювати бекдори. Backdoors забезпечити зловмисникові шлях для входу в систему, не будучи виявленим. Найбільш поширеними бекдор є відкритим трансляція TCP або UDP порт.
Step 7. Leverage the compromised system. After a system is compromised, an attacker usesit to stage attacks on other hosts in the network.
Крок 7. Плече скомпрометованої системі. Після система буде зламана, зловмисник використовує його для стадії атак на інші хости в мережі.
В загальному можна виділити три основні слабкості інформаційної безпеки:
1. Технологічні слабкості
Слабкості ТСР/ІР протоколу
Слабкості операційних систем
Слабкості обладнання
2. Конфігураційні слабкості
Незахищені користувацькі аканти
Системні акаунти з легкими паролями
Неправильно сконфігуровані інтернет сервіси (включені джава скріпти в броузері)
Обладнання залишене в дефолтовій конфігурації
Неправильно сконфігуроване обладнання
3. Слабкості політики безпеки
Недостатньо задокументована політика
Неузгодженість політики (війна між користувачами та адмінами)
Недостатній захист автентичності (легкі паролі, дефолтові паролі)
Недостатній логічний контроль (відсутність моніторингу та аудиту мережі)
Програмне та апаратне обладнання, що не відповідає політиці
Відсутність плану відновлення від катастроф.
19. Dummy DNS Впровадження в мережу Internet хибного DNS-сервера шляхом перехоплення DNS-запиту. Для реалізації атаки хакеру необхідно перехопити DNS-запит, витягти з нього номер UDP-порта відправника запиту, двобайтовими значення ID ідентифікатора DNS-запиту і шукане ім'я і, потім, послати помилковий DNS-відповідь на витягнутий з DNS-запиту UDP-порт, в якому вказати в якості шуканого IP-адреси справжню IP-адресу хибного DNS-сервера. Це дозволить надалі повністю перехопити і активно впливати на інформацію, яка циркулює між "обдуреним" хостом і сервером. Необхідною умовою здійснення даного варіанту атаки є перехоплення DNS-запиту. Це можливо тільки в тому випадку, якщо атакуючий знаходиться або на шляху основного трафіку або в сегменті цього DNS-сервера. Виконання однієї з цих умов місцезнаходження хакера в мережі робить подібну віддалену атаку важко осуществімойна практиці (потрапити в сегмент DNS-сервера і тим більше в міжсегментного канал зв'язку атакуючому швидше за все не вдасться). Однак НД променя виконання цих умов можливо здійснити міжсегментного віддалену атаку на мережу Internet.20. Dummy DNS for host Впровадження в мережу Internet хибного сервера шляхом створення спрямованого "шторму" помилкових DNS-відповідей на атакується хост. У цьому випадку хакер здійснює постійну передачу на атакується хост заздалегідь підготовленого помилкового DNS-відповіді від імені справжнього DNSс ервера без прийому DNS-запиту. Іншими словами, атакуючий створює в мережі Internet спрямований "шторм" помилкових DNS-ответов.Ето можливо, тому що звичайно для передачі DNS-запиту використовується протокол UDP, у якому відсутні засоби ідентифікації пакетів. Єдиними критеріями, що пред'являються мережевий ОС хоста до отриманого від DNS-сервера відповіді, є, по-перше, збіг IP-адреси відправника відповіді з IP-адресою DNS-сервера, по-друге, щоб в DNS-відповіді було зазначено те ж ім'я, що і в DNS-запиті, по-третє, DNS-відповідь має бути спрямований на той-же UDP порт, з якого був посланий DNS-запит (у цьому випадку це перша проблема для атакуючого), і, по-четверте, в DNS -відповіді полі ідентифікатор запиту в заголовку DNS (ID) повинно містити теж значення, що і в переданому DNS-запиті (а це друга проблема). Припускаємо, що атакуючий не має можливості перехопити DNS-запит, то основну проблему для нього представляє номер UDP-порта, з якого був посланий запит. Але номер порту відправника приймає обмежений набір значень, тому атакуючому достатньо діяти простим перебором, направляючи помилкові відповіді на відповідний перелік портів. На перший погляд другий проблемою може бути двобайтовими ідентифікатор DNS-запиту, але в даному випадку він або дорівнює одиниці, або має значення близьке до нуля (один запит - ID збільшується на 1). Тому для здійснення даної віддаленої атаки атакуючому необхідно вибрати що цікавить його хост (А), маршрут до якого потрібно змінити так, щоб він проходив через помилковий сервер - хост атакуючого. Це досягається постійної передачею (спрямованим "штормом") атакуючим помилкових DNS-відповідей на атакується хост від імені справжнього DNS-сервера на відповідні UDP-порти. У цих помилкових DNS відповідях вказується як IP-адреси хоста А IP-адреса атакующего.Далее атака розвивається за наступною схемою. Як тільки мета атаки (атакується хост) звернутися по імені до хосту А, то від даного хоста в мережу буде переданий DNS-запит, який атакуючий ніколи не отримає, але цього йому і не потрібно, тому що на хост відразу ж надійде постійно передається помилковий DNS-відповідь, який і буде сприйнятий ОС атакується хоста як справжній відповідь від DNS-сервера.Атака відбулася і тепер атакується хост буде передавати всі пакети, призначені для А, на IP-адреса хоста атакуючого, який, у свою чергу, буде переправляти їх на А, маючи можливість впливати (змінювати, модифікувати, аналізувати та ін) на перехоплену інформацію. Таким чином, реалізація даної віддаленої атаки, що використовує прогалини в безпеці служби DNS, дозволяє з будь-якої точки мережі Internet порушити маршрутизацію між двома заданими об'єктами. Тобто дана віддалена атака здійснюється міжсегментного по відношенню до цілі атаки й загрожує безпеці будь-якого хоста Internet, що використовує звичайну службуDNS.21. Dummy DNS for server Впровадження в мережу Internet хибного сервера шляхом створення спрямованого "шторму" помилкових DNS - відповідей на атакується DNS - сервер. Зі схеми віддаленого DNS-пошуку слід, що в тому випадку, якщо зазначена в запиті ім'я DNS-сервер не знайшов у своїй базі імен, то запит відсилається сервером на один з кореневих DNS-серверів, адреси яких містяться у файлі налаштувань сервера root.cache . Тобто, в тому випадку, якщо DNS-сервер не має відомостей про запитуваній хості, то він пересилає запит далі, а значить, тепер сам DNS-сервер є ініціатором віддаленого DNS-пошуку. Тому ніщо не заважає атакуючому, діючи методами Dummy DNS for host, направити свою атаку на DNS-сервер. Тобто, як цілі атаки тепер буде виступати не хост, а DNS-сервер і помилкові DNS-відповіді будуть направлятися атакуючим від імені кореневого DNSс ервера на атакується DNS-сервер. При цьому важливо враховувати наступну особливість роботи DNS-сервера. Для прискорення роботи кожен DNS-сервер кешує в області пам'яті свою таблицю відповідності імен та IP-адрес хостів. У тому числі в кеш заноситься динамічно змінювана інформація про імена та IP-адресах хостів, знайдених в процесі функціонування DNS сервера. Тобто, якщо DNS-сервер, отримавши запит, не знаходить у себе в кеш-таблиці відповідного запису, він пересилає відповідь на наступний сервер і, отримавши відповідь, заносить знайдені відомості в кеш-таблицю в пам'ять. Таким чином, при отриманні наступного запиту DNS-сервера вже не потрібно вести віддалений пошук, тому що необхідні відомості вже знаходяться у нього в кеш-таблиці. З аналізу описаної схеми віддаленого DNS-пошуку стає очевидно, що в тому випадку, якщо у відповідь на запит від DNS-сервера атакуючий направить помилковий DNS-відповідь (або у випадку "шторму" хибні відповіді буде вести їх постійну передачу), то в кеш -таблиці сервера з'явиться відповідний запис із неправдивими відомостями і, в подальшому, всі хости, які звернулися до даного DNS-сервера, будуть дезінформовані і при зверненні до хосту, маршрут до якого атакуючий вирішив змінити, зв'язок з ним буде здійснюватися через хост атакуючого. І збігом часу ця помилкова інформація, що потрапила в кеш DNS-сервера, буде поширюватися на сусідні DNS-сервери вищих рівнів, а, отже, все більше хостів в Internet будуть дезінформовані і атаковани.Очевідно, що в тому випадку, якщо атакуючий не може перехопити DNS-запит від DNS-сервера, то для реалізації атаки йому необхідний "шторм" помилкових DNS-відповідей, спрямований на DNS-сервер. При цьому виникає наступна основна проблема, відмінна від проблеми підбору портів у разі атаки, спрямованої на хост. Як вже зазначалося раніше DNS-сервер, посилаючи запит на інший DNS-сервер, ідентифікує цей запит двобайтовими значенням (ID). Це значення збільшується на одиницю з кожним переданим запитом. Дізнатися атакуючому це поточне значення ідентифікатора DNS-запиту не представляється можливим. Тому, нічого крім перебору 216 можливих значень ID запропонувати що-небудь досить складно. Зате зникає проблема перебору портів, так як всі DNS-запити передаються DNS-сервером на 53 порт.Следующая проблема, що є умовою здійснення цієї віддаленої атаки на DNS-сервера при направленому "штормі" помилкових DNS відповідей полягає в тому, що атака буде мати успіх , тільки втоми випадку, якщо DNS-сервер пошле запит на пошук певного імені (яке міститься в неправдивому DNS-відповіді). DNS-сервер посилає цей такий необхідний і бажаний для атакуючого запит в тому випадку, якщо на нього прийде DNS-запит від якого-небудь хоста на пошук даного імені і цього імені ні опиниться в кеш-таблиці DNS-сервера. У принципі, цей запит може прийти коли завгодно і атакуючому може бути доведеться чекати на результати атаки як завгодно довго. Однак ніщо не заважає атакуючому, не чекаючи нікого, самому послати на атакується DNS-сервер подібний DNS-запит і спровокувати DNS-сервер на пошук зазначеного в запиті імені. Тоді ця атака з великою ймовірністю буде мати успіх практично відразу ж після початку її здійснення.22. Syslog spoofing Полягає в передачі на комп'ютер жертву повідомлення від іменідругого комп'ютера внутрішньої мережі. Оскільки протокол syslog використовується для ведення системних журналів, шляхом передачі ложнихсообщеній на комп'ютер-жертву можна нав'язати інформацію ілізаместі сліди несанкціонованого доступу.23. IP spoofing Хакер відправляє в мережу пакунки з помилковим зворотною адресою. За допомогою цієї атаки хакер може перемикати на свій комп'ютер з'єднання, встановлені між іншими комп'ютерами. При цьому права доступу хакера стають рівними прав того користувача, чиє з'єднання з сервером було перенесено на комп'ютер хакера. Установка TCP з'єднання відбувається в три стадії: клієнт вибирає і передає серверу sequence number (назвемо його C-SYN), у відповідь наето сервер висилає клієнту пакет даних, що містить підтвердження (C-ACK) і власний sequence number сервера (S-SYN). Тепер уже клієнт повинен вислати підтвердження (S-ACK). Після цього з'єднання вважається встановленим і починається обмін даними. При цьому кожен пакет має в заголовку поле для sequence number і acknowledge number. Дані числа збільшуються при обміні даними дозволяють контролювати коректність передачі. Припустимо, що хакер може передбачити, який sequence number (S-SYN за схемою) буде висланий сервером. Це можливо зробити на основі знанійо конкретної реалізації TCP / IP. Таким чином, пославши один пакет серверу, хакер отримає відповідь і зможе (можливо, з декількох спроб і з поправкою на швидкість з'єднання) пророчити sequence number для наступного з'єднання. Якщо реалізація TCP / IP використовує спеціальний алгоритм для визначення sequence number, то він може бути з'ясований за допомогою посилки декількох десятків пакетів серверу й аналізу його відповідей. Отже, припустимо, що система A довіряє системі B, так, що користувач системи B може зробити "rlogin A" і опинитися на A, не вводячи пароля. Припустимо, чтохакер розташований на системі C. Система A виступає в ролі сервера, системи B і C - у ролі клієнтів. Перше завдання хакера - запровадити систему B у стан, коли вона не зможе відповідати на мережні запити. Це може бути зроблено декількома способами, у найпростішому випадку потрібно просто дочекатися перезавантаження системи B. Кількох хвилин, під час яких вона буде непрацездатна, повинне вистачити. Після цього хакер може спробувати прикинутися системою B, для того, що б одержати доступ до системи A (хоча б короткочасний). Хакер висилає кілька IP-пакетів, що ініціюють з'єднання, системі A, для з'ясування поточного стану sequence number сервера. Хакер висилає IP-пакет, в якому як зворотна адреса вказаний вже адреса системи B. Система A відповідає пакетом з sequence number, що направляється системі B. Однак система B ніколи не одержить його (вона виведена з ладу), як, втім, і хакер. Але він на основі попереднього аналізу догадується, який sequence number був висланий системі B. Хакер підтверджує "одержання" пакета від A, виславши від імені B пакет з передбачуваним S-ACK (помітимо, що якщо системи розташовуються в одному сегменті, хакеру для з'ясування sequence number досить перехопити пакет, посланий системою A). Після цього, якщо хакеру пощастило і sequence number сервера був вгадав вірно, з'єднання вважається встановленим. Тепер хакер може вислати черговий фальшивий IP-пакет, який буде вже містити дані. Наприклад, якщо атака була спрямована на rsh, він може містити команди створення файлу. Rhosts або відправлення / etc / passwd хакеру по електронній пошті.24. Host spoofing Атака заснована на протоколі ICMP, однією з функцією якого є інформування хостів про зміну поточного маршрутізатора.Данное керуюче повідомлення носить назву redirect. Існує можливість посилки з будь-якого хоста в сегменті мережі помилкового redirect-повідомлення від імені маршрутизатора на атакується хост. В результаті у хоста змінюється поточна таблиця маршрутизації і, в подальшому, весь мережевий трафік даного хоста буде проходити, наприклад, через хост, надіславши помилкове redirect повідомлення. Таким чином можливо здійснити активну нав'язування помилкового маршруту всередині одного сегмента мережі Internet.25. Dummy ARP server У мережі Internet кожний хост має унікальний IP адресу, на який надходять всі повідомлення з глобальної мережі. Однак протокол IP це не стільки мережний, скільки міжмережевий протокол обміну, призначений для зв'язку між об'єктами в глобальній мережі. На канальному рівні пакунки адресуються за апаратних адрес мережевих карт. У мережі Internet для взаємно однозначної відповідності IP і Ethernet адрес використовується протокол ARP (Address Resolution Protocol). Спочатку хост може не мати інформації про Ethernet-адресах інших хостів, що знаходяться з ним в одному сегменті, в тому числі і про Ethernet-адресу маршрутизатора. Відповідно, при першому зверненні до мережевих ресурсів хост відправляє широкомовний ARP-запит, який отримають всі станції в даному сегменті мережі. Отримавши цей запит, маршрутизатор відправляє на хост запитав ARP-відповідь, в якому повідомляє свій Ethernet-адрес.Данная схема роботи дозволяє хакерові послати помилковий ARP-відповідь, в якому оголосити себе шуканим хостом, (наприклад, маршрутизатором), і, в подальшому, активно контролювати весь мережевий трафік "обманутого" хоста.26. IP Hijacking Необхідні умови - хакер повинен мати доступ до машини, що знаходиться на шляху мережного потоку і мати достатні праваміна ній для генерації і перехоплення IP-пакетів. Нагадаємо, що пріпередаче даних постійно використовуються sequence number і acknowledge number (обидва поля знаходяться в IP-заголовку). Виходячи з іхзначенія, сервер і клієнт перевіряють коректність передачі пакетів. Існує можливість ввести підключення в "десінхронізірованное стан", коли надсилаються сервером sequence number іacknowledge number не будуть збігатися з очікуваним значеніемі клієнта, і навпаки. У даному випадку хакер, "прослуховуючи" лінію, може взяти на себе функції посередника, генеруючи коректні пакетидля клієнта й сервера й перехоплюючи їх відповіді. Метод позволяетполностью обійти такі системи захисту, як, наприклад, одноразові паролі, оскільки хакер починає роботу вже після того, як відбудеться авторизація користувача.27. UDP storm Як правило, за умовчанням системи підтримують роботу таких UDP-портів, як 7 ("відлуння", отриманий пакет надсилається тому), 19 ("знакогенератор", у відповідь на отриманий пакет відправнику вислати рядок знакогенератора) та інших (date etc). У даному випадку хакер може послати єдиний UDP-пакет, де в якості вихідного порту буде вказано 7, в якості одержувача - 19-й, а в якості адреси отримувача та відправника будуть вказані, наприклад, дві машини вашої мережі (або навіть 127.0. 0.1). Отримавши пакет, 19-й порт відповідає рядком, яка потрапляє на порт 7. Сьомий порт дублює її і знову відсилає на 19 і так до нескінченності. Нескінченний цикл з'їдає ресурси машин і додає на канал безглузду навантаження. Звичайно, при першому втрачений UDP-пакеті буря припинитися. 28. Traffic analysis (sniffing)Прослуховування каналу. Практично всі мережеві карти підтримують можливість перехоплення пакетів, що передаються по загальному каналу локальної мережі. При цьому робоча станція може приймати пакети, адресовані іншим комп'ютерам того ж сегменту мережі. Таким чином, весь інформаційний обмін в сегменті мережі стає доступним хакеру, що допоможе надалі йому підібрати / прідуматьдругіе типи атак проти Вас. Для успішної реалізації цієї атакікомпьютер хакера повинен розташовуватися в тому ж сегменті локальної мережі, що і атакується комп'ютер.29. Brute Force "Груба сила", атака використовувана хакерами в тих випадках, коли доступ до системи якої інформації закрито паролем, а вразливостей не вдалося виявити. Здійснюється простим перебором всіх можливих або найбільш часто всречающіхся паролів. У другому випадку brute force досить часто називають "атакою по словнику".30. Back Orifice (NetBus, Masters of Paradise і ін) ПЗ, що використовується для віддаленого адміністрування (управління) системою. Подібні програми після установки зазвичай займають який-небудь порт, наприклад, 31337, і знаходяться в очікування з'єднання. Хакери сканує Інтернет у пошуку інфікованого хоста. У разі виявлення вони можуть отримати достатньо повний контроль над системою, а саме: отримувати будь-які документи, паролі, інформацію про власника; стежити за тим, що Ви набираєте на клавіатурі; видаляти, створювати, змінювати і переміщати файли; управляти CD-ROM-му ; використовувати Вашу систему для здійснення атак на інші системи, так що підозра у вчинення їх впаде на Вас. Уявіть себе, які можуть бути наслідки для Вас якщо хакер буде використовувати Вашу систему для крадіжки грошей у інших людей або для протиправних дій проти гос.структур. BackOrifice може впроваджуватися в інші програми, програми, при запуску яких відбувається інфікування системи.31. Spam Розсилка по електронній пошті повідомлень будь-якого характеру без згоди на це одержувача. Періодично повторюється спаммінг може порушити роботу користувачів з-за перевантаження сервера електронної пошти; викликати переповнення поштових скриньок, що призведе до неможливості отримання і відправки звичайних повідомлень; збільшить час знаходження одержувача "на лінії", а це додаткові грошові витрати.32. Virus Програма, будучи одного разу запущена, здатна мимовільно створювати свої копії, що володіють такими ж здібностями. Віруси можуть спотворювати, модифікувати і знищувати дані. Будучи підключеним до мережі Інтернет вірус можна "підчепити" шляхом скачування будь-якої зараженої програми і подальшого її запуску у себе ПК; отримати по електронній пошті інфікованої програми або як приєднаного виконуваного коду при перегляді повідомлення; переглянути інтернет браузером www-сторінку, що утримують вірус ; хто-небудь закачає вірус на Ваш накопичувач.